{"id":671,"title":"\u0426\u0438\u0444\u0440\u043e\u0432\u044b\u0435 \u0445\u0443\u0434\u043e\u0436\u043d\u0438\u043a\u0438 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442 \u043e \u0441\u0432\u043e\u0438\u0445 \u043f\u0440\u043e\u0435\u043a\u0442\u0430\u0445","url":"\/redirect?component=advertising&id=671&url=https:\/\/tjournal.ru\/promo\/362125-ideya-igry-v-tom-chtoby-provesti-kak-mozhno-bolshe-vremeni-v-virtualnoy-realnosti-ne-pokidaya-ee&hash=62ce8878235b6abb1432347419d781c5d53508c44085616a380a7490ceafc480"}

Полупустое множество Статьи редакции

Пользователи «Хабрахабра» проанализировали украденные хакерами пароли Gmail, «Яндекса» и Mail.ru

15 сентября на блогосервисе «Хабрахабр» появился подробный анализ всех баз данных с паролями от почтовых ящиков Gmail, «Яндекса» и Mail.ru, попавших в сеть в начале прошлой недели. 

Авторы публикации попытались разобраться, насколько надёжными были утекшие пароли, есть ли в действиях хакеров признаки фишинговой атаки, и были ли архивы с персональными данными собраны из разных источников в разное время, как утверждают пострадавшие интернет-компании.

Сколько паролей на самом деле было похищено

Выложенные хакерами базы с логинами и паролями кажутся большими лишь на первый взгляд. «Официальное» количество похищенных данных затрагивает почти пять миллионов аккаунтов Gmail, около 1,2 миллиона аккаунтов «Яндекс.Почты» и более 4,5 миллиона ящиков на Mail.ru.

Опубликованная информация отличается сильной «зашумлённостью», отмечают составители отчёта. Во многих электронных адресах и паролях присутствуют пропуски, разделители и другие недопустимые символы. Простая проверка паролей на валидность показывает, что многие из них не подходят к почте, будучи больше или меньше установленных почтовыми сервисами ограничений.

Отдельный анализ паролей из базы Gmail, к примеру, показал, что реально действующим на момент проверки являлся только один процент адресов в архиве. И даже эти ящики были чаще всего заброшены своими создателями и практически не использовались в течение последнего года.

Насколько надёжными были похищенные пароли

Изучив длину всех украденных паролей, пользователи «Хабрахабра» установили: большая их часть содержит в себе меньше восьми символов, что автоматически делает их крайне неустойчивыми для различного вида так называемых «переборных атак».

Составленная авторами таблица надёжности паролей показала, что самые слабые пароли были у пользователей Gmail и «Яндекса» (наибольшие значения по категориям «очень слабый»и «слабый» пароль на второй диаграмме ниже).

Что показала проверка паролей по словарям

Авторы публикации также проверили попавшие в сеть данные с помощью доступных «словарей паролей» (password dictionary), взяв первые несколько словарей, найденных в выдаче Google.

При выборке в 10 тысяч почтовых ящиков в 30 общедоступных словарях удалось найти 13,5 процента паролей Gmail, 13,4 процента паролей «Яндекса» и 9,6 процента паролей Mail.ru.

Что ещё удалось обнаружить в ходе анализа

Большая часть электронных адресов, выложенных хакерами, относились в трём крупным сервисам — Gmail, «Яндекс.Почта» и Mail.ru. Однако в базе можно было обнаружить и значительную долю ящиков, зарегистрированных на Rambler.

В этих и других аккаунтах составители отчёта нашли одинаковый спам, свидетельствовавший о том, что информация о них могла быть получена в ходе фишинговой атаки.

Некоторые адреса, зарегистрированные на почтовом сервисе Mail.ru, привели к страницам с раздачами на различных геймерских форумах, где части обнародованных в начале сентября баз с паролями уже «гуляли» ранее.

Итоги исследования

В результате, заключают авторы, наиболее вероятной является версия о том, что базы с паролями — это всего лишь компиляция данных, полученных из различных источников в различное время. Именно так объяснили утечку информации своих пользователей интернет-компании.

Большая часть опубликованных паролей в целом оказались невалидными, так как не соответствуют даже формальным синтаксическим требованиям, применяемым к таким словам.

Несмотря на повышенное внимание СМИ к опубликованным хакерами архивам, всё это скорее напоминает попытку создания инфоповода, нежели реальную опасную атаку на пользователей электронной почты, говорится в записи на «Хабрахабре».

{ "author_name": "Виктор Степанов", "author_type": "self", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441_\u043f\u043e\u0447\u0442\u0430","\u044f\u043d\u0434\u0435\u043a\u0441","\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u0430\u044f_\u043f\u043e\u0447\u0442\u0430","\u0445\u0430\u043a\u0435\u0440\u044b_\u0432\u044b\u043b\u043e\u0436\u0438\u043b\u0438_\u043f\u0430\u0440\u043e\u043b\u0438_\u043e\u0442_\u043c\u0438\u043b\u043b\u0438\u043e\u043d\u043e\u0432_\u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0445_\u0430\u043a\u043a\u0430\u0443\u043d\u0442\u043e\u0432","\u0445\u0430\u043a\u0435\u0440\u044b","\u0445\u0430\u0431\u0440\u0430\u0445\u0430\u0431\u0440","\u0443\u0442\u0435\u0447\u043a\u0438_\u043f\u0430\u0440\u043e\u043b\u0435\u0439_\u043e\u0442_gmail_\u0438_\u043f\u043e\u0447\u0442\u044b_\u044f\u043d\u0434\u0435\u043a\u0441","\u0441\u0442\u0430\u0442\u044c\u044f","\u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439_\u043f\u0430\u0440\u043e\u043b\u044c_\u0434\u043b\u044f_\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439_\u043f\u043e\u0447\u0442\u044b","\u043a\u0438\u0431\u0435\u0440\u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u044c","\u043a\u0430\u043a_\u0441\u043c\u0435\u043d\u0438\u0442\u044c_\u043f\u0430\u0440\u043e\u043b\u044c_\u043e\u0442_\u043f\u043e\u0447\u0442\u044b","\u0430\u043d\u0430\u043b\u0438\u0437_\u0443\u0442\u0435\u043a\u0448\u0438\u0445_\u0432_\u0441\u0435\u0442\u044c_\u043f\u0430\u0440\u043e\u043b\u0435\u0439","mail_ru_group","mail_ru","google","gmail"], "comments": 16, "likes": 22, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 52337, "is_wide": true, "is_ugc": true, "date": "Mon, 15 Sep 2014 15:50:50 +0400", "is_special": false }
0
16 комментариев
Популярные
По порядку
Написать комментарий...

Активный франт

19

Кстати, вчера выяснил, что у меня по дому ползает крайне стойкий к подбору генератор случайных паролей. Сажаешь за комп и пароль, длиной в 30-50 символов готов. Ни один алгоритм не сравнится к ним

Ответить

Должен Артем

Активный
16

9 месяцев на изготовление долговато будет.

Ответить

Комментарий удален

Октябрьский велосипед

Anton
1

коты прекрасно справляются с этой задачей.
их ждать 9 месяцев не нужно.

Ответить

Столичный ключ

Активный
3

Вы недооцениваете моего кота. Он может выдавать пароль длиной пропорциональной количеству часов сна на клавиатуре. Энтропия максимальна.

Ответить

Конституционный шмель

10

Нашисты купили базу ящиков с паролями и теперь нас ждёт очередной чудо-законопроект?

Ответить

Активный франт

7
Ответить

Органический Гоша

Активный
6

- «Скажи пароль и проходи»… А как по-эльфийски будет пароль?
- Der Parol.

Ответить

Порядочный лолипоп

Активный
0

- Поэтому я приклеела стикер на монитор!

Ответить

Порядочный лолипоп

Dmitry
1

пардон, приклеИла

Ответить

Зеленый щит

1

Вы не правы. На яндексе валидны пароли <6 символов, если они созданы до введения ограничений

Ответить

Внешний шар

–4

Скоро ВК будут взламывать.

Ответить

Последний Артем

–4

слив ящиков Gmail мб и фэйком от самой компании, чтобы больше народу пользовалось двойной аутентификацией

Ответить

Жилищный франт

Rom
0

У Яндекса вообще нет этой двойной аутентификации.

Ответить

Комментарий удален

Усталый Мурод

–7

У меня вообще пароли читаются на русском, но пишутся на енглише. Ну и кто теперь оригиналити?

Ответить

Истинный Артем

Никита
4

Простая смена раскладки не лучший метод, особенно если пароь - простое слово.

Ответить

Погибший Илья

Максим
1

 только если раскладка не дворак

Ответить
Обсуждаемое
Истории
В Норвегии нашли мужчину спустя девять лет после смерти. Ему платили пенсию и автоматически списывали деньги по счетам
А обнаружили его случайно.
Разборы
Что такое карательная функция пенитенциарной системы и почему месть преступнику не является функцией государства
Сказали мне тут, на ТЖ, что, якобы, месть преступнику — одна из функций исправительной системы, наряду с изоляцией заключённых от общества и их исправлением. Я, мягко говоря удивился, ведь и в школе, и в университете меня учили тому, что задача исправительной системы, не месть, а, внезапно, исправление, и государство с давних времён жёстко…
Новости
CNN: США рассматривают планы отправить корабли в Чёрное море для «поддержки Украины» на фоне большого скопления войск РФ
Штаты обвинили Россию в наращивании войск рядом с Украиной.
Популярное за три дня
Новости
В Египте нашли «потерянный золотой город». Он был скрыт под песками около трёх тысяч лет
Это открытие провозгласили одной из самых важных археологических находок со времён гробницы Тутанхамона.
Twitter
Интернет
Советский «Властелин Колец» добрался до Запада: телеспектакль разбирают на мемы, особенно — про советского Гэндальфа
Нельзя так просто взять и ради мемов заменить в классических сценах «Властелина колец» голливудских актёров на советских? Как оказалось, можно.
null